Detail

Breng security verder dan het oplossen van incidenten

21-aug-2018

Veel security maatregelen zijn op de korte termijn gericht en missen samenhang. Dat komt omdat organisaties zich in de snel evoluerende technologie verliezen of voortdurend op zoek zijn naar een naald in een hooiberg. Van effectief optreden en het doorvoeren van verbetermaatregelen, komt het daardoor te weinig. Een speler als T-Systems, die een aparte tak voor managed security services heeft opgezet, brengt daar verandering in door aan de hand van een concrete roadmap security snel op een hoger plan te krijgen.
Het besef dat security cruciaal is voor de organisatie, is doorgedrongen tot de meeste bestuurskamers van grote en middelgrote bedrijven en organisaties. Ook de budgetten voor security zijn, zo blijkt uit vergelijkend Europees onderzoek, de afgelopen jaren door de bank genomen flink opgehoogd. Dat wil alleen niet zeggen dat de expertise, menskracht en budgetten ook optimaal ingezet worden, vindt Dennis Pieterse, senior security advisor bij T-Systems Nederland. “Wat vaak nog ontbreekt”, stelt Pieterse, “is een duidelijke visie op de volwassenheid die organisaties met security investeringen willen bereiken. Zo’n roadmap aangevuld door een visie en een bijbehorend ontwikkelplan om maatregelen concreet te maken, zorgt er ook tegelijkertijd voor dat deze investeringen toetsbaar zijn.” 
Security is uitgegroeid tot een strategisch onderwerp. Dat betekent dat nu de business het voortouw neemt, terwijl voorheen vooral IT-ers aan de knoppen zaten.“In de bestuurskamers van grote bedrijven heeft men inmiddels echt wel oog voor het belang van security”, aldus Pieterse. “Dat kun je onder meer afleiden uit het feit dat bestuurders hun Chief Information Security Officers (CISO’s) meer en meer bij de business zijn gaan betrekken. Die zijn de laatste jaren echt naar voren geschoven als strategisch adviseur van de directie. En zo zou het ook moeten zijn.”
Tegelijkertijd stelt Pieterse vast dat de oude reflex om beveiligingsmaatregelen op de meest recente veiligheidsincidenten te baseren, nog veel voorkomt. Hij geeft een voorbeeld: “Stel dat een organisatie belangrijke informatie is kwijtgeraakt. De logische reactie is dan om zo snel mogelijk standaard data loss prevention (dlp-)maatregelen in te voeren. Maar wat nu als om te beginnen niet eens duidelijk is waar alle informatie zich precies binnen de organisatie bevindt? Wanneer die nog niet per databestand is geclassificeerd en, aan de hand van die classificaties, passend is beveiligd? Wanneer er nog geen goede controleprocedures zijn opgesteld, of als de medewerkers nog onvoldoende beveiligingsbewust zijn gemaakt? Dan heb je een probleem aan de basis, waarbij al die extra technologie je echt niet vooruit zal helpen.” 

Roadmap

Op elk ander onderwerp dan security kennen organisatie budgetten toe op basis van een langere termijnvisie, die is vastgelegd en concreet uitgewerkt in een stappenplan of roadmap. Precies zo zou iedere organisatie niet alleen de kernactiviteiten, maar vooral ook security moeten benaderen, stelt Pieterse. Zeker nu betrouwbare en dus veilige data (en datacombinaties) cruciaal zijn geworden voor het succes van menige businesscase. Om nog maar niet te spreken van het hooghouden van het imago van organisaties die metgevoelige, persoonsgebonden informatie werken. Organisaties zouden dan ook duidelijk voor ogen moeten hebben naar welk niveau van dataveiligheid ze willen streven, en welke stappen ze nog moeten nemen om het gewenste niveau te bereiken. Uitgaven aan databeveiliging zouden moeten worden gebaseerd op de eerstvolgende stap in een dergelijke lange termijn agenda, in plaats van op het meest recente veiligheidsprobleem.
Pieterse: “In mijn ogen draait het allemaal om het maken van bewuste keuzes op basis van een ontwikkelplan. Welke stap moeten we logischerwijs nu zetten om nu en lange termijn progressie te bereiken? Dat moet steeds de vraag zijn met vanzelfsprekend genoeg ruimte voor quick-win-acties. Dat handelen voor de lange termijn is tegelijkertijd ook wat de uiteindelijke uitvoering van zo’n plan lastig, maar niet onmogelijk maakt.” Een nulmeting is uiteraard een eerste vereiste bij het opstellen van een ontwikkelplan. “Je moet allereerst weten waar je nu staat. Hoe volwassen ben ik al?
Bij T-Systems maken wij daarbij gebruik van de meetlat Esaris (Enterprise Security Architecture for Reliable ICT) die we gebruiken om de opstelling van securitymaatregelen van klanten en de bijbehorende producten en diensten te kwalificeren. Maar dat niet alleen. We gebruiken die architectuur ook om het niveau van security bij klantorganisaties meetbaar en klaar voor verandering te maken. Het maakt daarbij in principe niet uit hoe hoog de klant op die meting scoort. Het is puur een handvat en richtlijn om de beginsituatie helder vast te leggen. Zo creëer je de juiste basis voor een realistisch ontwikkelplan.”
Als je eenmaal weet waar alle informatie zich binnen je organisatie bevindt, welke subsets maximaal moeten worden beveiligd en welke risico’s voor welke subsets aanvaardbaar zijn, kun je heel gericht een ontwikkelplan opstellen. “Maatregelen moet je in de juiste volgorde nemen”, stelt Pieterse. “Zo is het bijvoorbeeld handig om, voordat je je gaat wapenen tegen de meest geavanceerde bedreigingen — die doorgaans om de meest geavanceerde en dus lastigste en meest kostbare oplossingen vragen — om eerst na te gaan of al je applicaties wel afdoende bijgewerkt zijn met updates. Zodat niet de eerste de beste script kiddie je systeem kan binnendringen. Of misschien ligt je probleem initieel meer op bewustwordingsgebied. En moet je beginnen met het bijspijkeren van je personeel, of moet je nog eens heel goed naar de bestaande veiligheidsprocedures kijken. Zijn ze nog wel bij de tijd en worden ze nog wel nageleefd?”

Populair 

Wanneer een gedetailleerde roadmap met beleidsmaatregelen, stappenplannen en procedures eenmaal op papier staat, moet je die natuurlijk ook op de juiste manier uitvoeren. Dat is niet altijd even gemakkelijk voor organisaties, omdat ontwikkelingen zo snel gaan. Databeveiliging is namelijk niet alleen een zeer ingewikkeld en dus zeer gespecialiseerd vakgebied, waar de echte specialisten veelgevraagd en dus zeldzaam en duur zijn, het is ook een terrein waar de ontwikkelingen zich razendsnel opvolgen en voortdurende innovatie een basisvereiste is. Dit is, naast de toegenomen bewustwording van data-veiligheidsrisico’s, misschien wel de belangrijkste reden waarom managed security oplossingen als managed SOC’s momenteel zo populair zijn.
Pieterse: “De klant van een managed security dienst is uiteindelijk geïnteresseerd in de uitkomsten. En niet in de aanschaf van een bepaalde technologie, zoals vroeger vaak het geval was. Toen vroeg een klant om die-en-die firewall of dat bepaalde  antivirusproduct. De essentie van een managed dienstverlening zoals wij die nu ook leveren, zit naar mijn idee veel meer in het bieden van een vereenvoudigde maar betrouwbare totaaloplossing gericht op een gegarandeerde uitkomst. En dit in het voor de klant behapbaar maken van een IT-landschap dat almaar complexer wordt, onder meer omdat de ketens steeds langer worden.”
De opkomst van clouddiensten, waarbij verschillende ecosystemen aan elkaar worden geknoopt, heeft organisaties de afgelopen tien jaar met een buitengewoon complex IT-landschap geconfronteerd dat ook nog eens continu evolueert. Met alle bijbehorende, potentieel catastrofale beveiligingsproblemen van dien. Zoals we die inmiddels kennen van het toenemende aantal consumentenproducten dat met een schromelijk tekortschietende beveiliging aan het Internet of Things (IoT) wordt gehangen.
Afbeelding 1: Het nieuwe Cyber Defense Center van T-Systems
Het nieuwe Cyber Defense Center van T-Systems


Met een managed security dienst hebben bedrijven de beschikking over de noodzakelijke databeveiligingsexpertise in, die organisaties zelf niet kunnen of willen
inkopen omdat data security ofwel te ver is verwijderd van de kernactiviteiten, ofwel (veel) te kostbaar is om het zelfstandig op professionele wijze uit te voeren. “Het is onze taak de ontstane complexiteit in het IT-landschap voor de klant te managen”, vertelt Pieterse. “Want klanten willen gewoon afdoende beveiligd zijn voor een redelijke prijs. De nodige innovatie, en de investeringen die daarbij horen, zijn voor onze rekening. Wij hebben immers een belangrijk schaalvoordeel. Bovendien kunnen we de ervaringen met databeveiliging van een hoeveelheid en diversiteit van organisaties en bedrijven bundelen, zodat we al die kennis kunnen inzetten om onze diensten en producten voortdurend te verbeteren.”

SOC

Een SOC staat of valt bij de deskundigheid van de specialisten die er deel van uitmaken, de intelligentie van alle tools die er deel vanuit maken en de use cases die worden toegepast. “Zoiets vraagt een flinke en continue investering”, weet Pieterse. “Dat neem je de klant uit handen door zo’n voorziening als een dienst aan te bieden, op basis van een pay-per-use model. Daarmee maak je het voor de klant relatief gemakkelijk om zo’n SOC te implementeren, het schaalt gemakkelijk en de vereiste beveiligingsevolutie — essentieel voor de toekomstbestendigheid — is in de service ingebouwd.”
Daarbij blijft het belangrijk dat de klantorganisatie het overzicht behoudt over het hele, vaak versnipperde IT-landschap. “De centrale beveiligingsorganisatie, de SOC-service dus, houdt 24 bij 7 toezicht op de datastromen. Ze voert ook de regie tijdens eens incident response, maar de uiteindelijke beslissingsbevoegdheid voor maatregelen in kernactiviteiten, die blijft binnen de klantorganisatie blijven liggen”, zegt Pieterse. “Er moeten dus procedures komen, die beschrijven hoe de escalaties eruit zien, en vooral ook hoe het mandaat van het managed SOC eruit ziet, om maatregelen te treffen. De kracht van de IT-organisatie aan de klantzijde is dat deze rechtstreeks met de business kan spreken om in noodsituaties beslissingen te kunnen nemen die mogelijk de kernactiviteiten raken. Zoals het tijdelijk stilleggen van een betalingssysteem.”
Ook deze procedures moeten zijn afgestemd op de roadmap – het referentiepunt voor alle strategische handelingen. In andere woorden: ze moeten zijn gebaseerd op een weloverwogen informatiebeleid. “Bewust en weloverwogen beveiligingsmaatregelen nemen op basis van een strategie, dat wordt de komende jaren, met alle nieuwe wetgeving rond privacy en voortdurende ontwikkelingen op het gebied van big data, alleen nog maar belangrijker. Zo is het niet verstandig informatie te bewaren omdat het nu eenmaal kan.” Het veilig opslaan van eigenlijk onnodige data is kostbaar en kan immers een risico opleveren voor de bedrijfsvoering, omdat gecompromitteerde informatie grote schade aan de business kan toebrengen. Je moet dus bewust kiezen tussen bewaren en beveiligen of vernietigen, afhankelijk van je procedures en de doelstellingen in je informatiebeleid.

Blauwe ogen

De eigen IT-organisatie blijft daarnaast ook belangrijk voor het beheersen van de risico’s waar het om de dienstverlening van aanvullende derde partijen gaat. Pieterse: “Je kunt de volwassenheid van een dienstverlener nu eenmaal niet afleiden uit diens blauwe ogen. Er zijn veel jonge marketing-achtige partijen die briljante dingen kunnen doen met jouw informatie. Vanuit puur zakelijk perspectief kan zo’n aanbod aanlokkelijk lijken, terwijl misschien niet helemaal duidelijk is of die partij qua data security wel aan de door jou nagestreefde standaarden voldoet.” 
Weloverwogen met informatie omgaan en daar een structuur en strategie voor neerzetten, dat gaat de komende jaren steeds belangrijker worden. In een gedifferentieerd landschap zoals je die ziet in IoT-netwerken maar ook in de IT-ecosystemen liggen er wel zogenaamde data processing agreements inclusief de benodigde certificeringen. In toenemende mate wordt dit als onvoldoende ervaren en willen organisaties tot op het bot weten welke maatregelen er genomen worden
rond privacy gevoelige of bedrijfskritische data.
Op dit punt is de interne regie organisatie enorm belangrijk. Die moet generiek over zo’n ecosysteem kunnen vaststellen wat de risico’s zijn op informatie inbreuken en of de maatregelen die genomen zijn deze risico’s afdoende afdekken. Eventueel slecht nieuws of blokkades op bepaalde diensten moeten natuurlijk ook uitgelegd worden aan de business. Pieterse: “Als provider kunnen wij dan wel zeggen dat wij het niet verstandig vinden je data daarheen te sturen, maar het is uiteindelijk aan de klantorganisatie zelf om daar een weloverwogen oordeel over te vormen. Welk risico wens je te nemen, en met welke data? Die besluitvorming leunt tegen de business aan, en het is in laatste
instantie dan ook aan de bestuurskamer om daar een beslissing over te nemen. Dat is lastig als je de kennis daarover niet in eigen handen hebt gehouden, middels een eigen IT-organisatie die weet wat er speelt, die het overzicht over de eigen datastromen behoudt en de noodzakelijke vertaalslag naar de juiste personen in de bestuurskamer kan maken.”
Standaard veilig
In 2014 introduceerde T-Systems een eigen standaard voor databeveiligingsdiensten, genaamd Esaris (Enterprise Security Architecture for Reliable ICT Services). De standaard is onderdeel van de bredere 'Zero outage industry standard’ die bedoeld is als raamwerk voor bedrijfskritische IT-dienstverlening. Naast T-Systems doen Brocade, Cisco, Dell EMC, HDS, HPE, IBM, Juniper, NetApp, SAP, SUSE en Swisscom mee aan dit initiatief.
De security architectuur bevat een grote hoeveelheid gedetailleerde richtlijnen, een begrippenapparaat, standaarden en instructies voor alle domeinen van databeveiligingsmanagement, van risicomanagement tot en met het inrichten van werkplekken en datacenters. Klantorganisaties die gebruikmaken van de securitydienstverlening van T-Systems, kunnen dit raamwerk gebruiken voor het opstellen van een organisatie-eigen informatiebeleid en roadmap.
Het raamwerk is toepasbaar op vrijwel alle ICT-diensten, waaronder met name ook clouddiensten. Dat betekent dat het is ontwikkeld voor complexe data-netwerken die zijn opgebouwd uit een veelheid van aan elkaar verbonden ecosystemen en componenten, waarin snel moet kunnen worden geschaald en grote hoeveelheden data snel en probleemloos te verwerken zijn. Het Esaris-raamwerk moet het mogelijk maken om ook in een dergelijk versnipperd en continu evoluerend IT-landschap grip te blijven houden op de beveiliging, betrouwbaarheid en beschikbaarheid van data, om zo snel en gericht mogelijk op problemen te kunnen reageren, en tegelijkertijd de risico’s in de ketens te minimaliseren.

Dit artikel verscheen in de Cybersecurity whitepaper van Metri: Een business aanpak van security.
Wilt u het hele rapport downloaden? Ga dan naar:
https://metrigroup.com/whitepapers/een-business-aanpak-van-security/

Meer informatie over security dienstverlening van T-Systems?
https://www.t-systems.com/nl/nl/solutions/security/overview-it-security-112732